•  
  •  
Ethics & Compliance Management

von der Compliance-Strategie zur nachhaltigen Umsetzung




Was bedeutet Ethics & Compliance Management?

Compliance im hier verstandenen Sinne umfasst nicht nur ein Geschäftsverhalten im Rahmen der relevanten rechtlichen Bestimmungen (sog. "legal compliance"), sondern auch im Einklang mit den unternehmenseigenen Werten (Integrität) und über den gesetzlichen Rahmen hinausgehenden selbstauferlegten Grundsätzen - denn nicht alles, was legal ist, ist auch legitim bzw. nicht alles, was man darf, soll man auch.

Compliance Management ist der pro-aktive, systematische und umfassende Umgang mit dem Thema Compliance und umfasst im Sinne eines Regelkreises folgende vier Bereiche: Prävention, Aufdeckung, Reaktion und kontinuierliche Verbesserung. Wirksames Compliance Management setzt voraus, das eine Compliance-Strategie vorliegt und die Umsetzung dieser Strategie regelmässig überprüft wird. Bei Corporate Compliance Casutt umfasst Compliance Management sowohl die Prozessorganisation als auch gleichermassen die Verhaltenssteuerung (Ethics & Integrity Management).

Ethics- & Integrity Management fokussiert im Gegensatz zum traditionellen Verständnis von Compliance-Management noch mehr auf das Verhalten als auf die Prozesse. In den letzten Jahren hat sich die Erkenntnis stark verbreitet, dass ein Compliance Management System, das primär auf Prozesse und Kontrollen setzt und nur sekundär auf die Verhaltenssteuerung und Prävention, oftmals nicht die gewünschte Wirksamkeit zeigt.

Ein Compliance Management System (CMS) fasst alle Massnahmen und Prozesse zur Sicherstellung der Compliance in einem Unternehmen zusammen. Es gibt unzählige nationale und internale Rahmenkonzepte, die sich in den Grundsätzen sehr ähnlich sind und folgende Grundelemente abdecken: Unternehmenskultur & Leadership, Risikoanalyse, Compliance-Programm, Compliance-Organisation, Bewusstseinsbildung/Schulungen & Kommunikation, Kontroll- & Steuerungsmassnahmen, Überwachung & Verbesserung des CMS.

Der ISO Standard 19600 - Compliance Management Systems ist der erste globale Standard zum Thema CMS. Es ist zu erwarten, dass ISO 19600 sich in Zukunft als Best-Practice-Standard etablieren wird: einerseits, wenn es darum geht, ein adäquates CMS in einem Unternehmen aufzubauen, andererseits aber auch, wenn die Strafverfolgungs-(Behörden) das CMS eines Unternehmens nach einem Vorfall auf dessen Wirksamkeit hin überprüfen. Unternehmen können nun ihr CMS nach  ISO 19600 zertifizieren lassen und so gegenüber Kunden und Stakeholdern Transparenz und Vertrauen in das Unternehmen schaffen.

Themenbereiche

  • Code of Conduct (Verhaltenskodex)
    Der Code of Conduct ist das Rückgrat für alle Compliance-Aktivitäten und bekräftigt das unternehmerische Bekenntnis zur Compliance gegen aussen. Der Code of Conduct ist jedoch immer nur so wirksam wie seine Umsetzung.
  • Korruption und Bestechung
    Unternehmen in der Schweiz können strafrechtlich zur Verantwortung gezogen werden, wenn sie nicht die notwendigen und zumutbaren präventiven Massnahmen getroffen haben, um Korruption und Bestechung im In- und Ausland zu verhindern; so hatte Alstom 2011 eine Busse und Ersatzzahlung von fast CHF 39 Millionen zu bezahlen. Mit einem Compliance Management System werden auf den unternehmensinhärenten Risiken basierende Massnahmen definiert.
  • Geschenke und Einladungen
    Geschenke und Einladungen gehören zur Beziehungspflege im Geschäftsleben, können den Beschenkten oder Eingeladenen aber in ein Dilemma (Interessenkonflikt) bringen oder bei entsprechender Absicht sogar als unzulässige Beeinflussung (Bestechung) ausgelegt werden. Mit einem geeigneten Fragekatalog und einer Risiko-Matrik können die Betroffenen im Einzelfall beim Entscheid, ob ein Geschenk oder eine Einladung angemessen ist, unterstützt werden. 
  • Interessenkonflikte
    Interessenkonflikte lassen sich nicht vermeiden, zumal immer wieder geschäftliche und private Interessen aufeinandertreffen; massgebend ist vielmehr, wie mit solchen Konfliktsituationen umgegangen wird. Entsprechende Verhaltensregeln, vor allem aber eine Sensibilisierung exponierter Personen helfen, Interessenkonflikte zu vermeiden oder aber zumindest frühzeitig zu erkennen und zu beheben. Nur so kann das Vertrauen in die Integrität der betroffenen Personen und des Unternehmens erhalten bleiben.
  • Fraud
    Mit einem Anti-Fraud Management System kann Vermögensschädigungen durch Mitarbeitende (insbesondere durch Betrug, Diebtstahl, etc.) vorgebeugt bzw. kann die Aufdeckung beschleunigt und eine angemessene Aufarbeitung sichergestellt werden.
  • Kartellrecht
    Verstösse gegen das Kartellgesetz gehen letzten Endes immer zulasten des Unternehmens (Busse, Reputationsverlust, etc.); es muss somit im Interesse des Unternehmens sein, kritische Personengruppen insbesondere zu schulen, um unzulässige Absprachen oder den Missbrauch einer marktbeherrschenden Stellung zu verhindern. Schweizer Unternehmen können zudem gleichzeitig auch im Fokus der ausländischen Wettbewerbshüter stehen (so hatte Roche infolge des Vitamin-Kartells 2001 eine Busse von Euro 462 Millionen an die EU-Kommission zu bezahlen).
  • Dawn Raid
    Ein erprobtes Notfall-Dispositiv hilft dem Unternehmen für den Fall einer unangekündigten Hausdurchsuchung (sog. Dawn Raid) durch die Wettbewerbskommission (WEKO), in dieser aussergewöhnlichen Situation keine folgenschweren Fehler zu begehen, welche die spätere Verteidigung des Unternehmens gegen Anschuldigungen vereiteln könnte.
  • Börsen-Compliance
    Mit einem einfachen Reglement, das den Meldeprozess und die entsprechenden Verantwortlichkeiten klar definiert, kann die Einhaltung der für börsennotierte Unternehmen geltenden gesetzlichen Vorschriften betreffend Ad-hoc Publizität und Management-Transaktionen sichergestellt werden. Mit einem Reglement betreffend Insiderhandel (Securities Trading) und geeigneten Umsetzungsmassnahmen kann verhindert werden, dass Personen, die über nicht öffentlich bekannte und potentiell kursrelevante Informationen verfügen, diese zu ihrem eigenen Vorteil ausnutzen und ein Untersuchungsverfahren gegen das Unternehmen eröffnet wird.
  • Datenschutz
    Es lohnt sich, neue Geschäftsprozesse von Beginn weg so aufzusetzen, dass sie im Einklang mit der Datenschutzgesetzgebung sind. Das gilt beispielsweise in Bezug auf die Personaladministration nicht nur für das eigentliche Outsourcing der Datenbearbeitung ins Ausland, sondern auch für den Austausch von Personendaten innerhalb des Konzerns.
  • Sexuelle Belästigung
    Unternehmen sind gesetzlich verpflichtet, präventiv notwendige und geeignete Massnahmen zum Schutz der Mitarbeitenden vor sexueller Belästigung am Arbeitsplatz zu treffen und bei Widerhandlungen einzuschreiten; ansonsten kann das Unternehmen eine Mitverantwortung mit Schadenersatzfolge treffen.
  • Leadership und Unternehmenskultur
    Das oberere, aber auch das mittlere Management tragen massgebend dazu bei, dass Compliance nicht nur ein Lippenbekenntnis bleibt. Nur wenn das Management den Compliance-Gedanken authentisch verkörpert und in alle Botschaften (tone at the top) und Handlungen (walk the talk) einbindet, kann sich nachhaltig eine ethische Unternehmenskultur etablieren. 
  • Anreize und Sanktionen
    Geeignete Anreize, die ein integres Geschäftsverhalten fördern und angemessene Massnahmen, die ein allfälliges Fehlverhalten sanktionieren, gehören zu den wirksamsten Mitteln, um den Code of Conduct und die darin verkörperten Werte wirksam durchzusetzen.
  • Risikoidentifikaiton und -bewertung
    Die regelmässige Identifikation und Bewertung von Compliance-Risiken ermöglicht erst, eine wirksame Compliance-Strategie zu definieren und die Risiken angemessen zu managen. Auch setzt eine wirtschaftliche Ressourcenallokation voraus, dass alle Compliance-Aktivitäten risiko-basiert erfolgen.
  • Geschäftspartnerprüfung
    Der Beizug von Vermittlern und Geschäftspartnern (Agenten, Distributoren, Beratern, etc. ) ist in vielen Märkten üblich und oftmals auch wichtiger Bestandteil des Geschäftsmodells. Werden solche Dritte nicht einer angemessenen Compliance-Prüfung unterzogen (sog. Due Diligence) und dem Code of Conduct unterworfen, muss das Unternehmen sich unter Umständen strafrechtlich für durch diese Dritten begangene Bestechunghandlungen verantworten. Mit einem risiko-basierten Due-Diligence Prozess kann das von Geschäftspartnern ausgehende Compliance-Risiko substantiell reduziert werden.
  • Schulungen
    Bedarfsgerechte Schulungen unterstützen die Auseinandersetzung mit einer bestimmten Thematik und gehören deshalb zu den wichtigsten Umsetzungsmassnahmen; Inhalt und Format hängen vom jeweiligen Publikum (dazu gehören auch auch Verwaltungsrat und Geschäftsleitung) ab.  
  • Whistleblowing
    Eine interne Meldestelle dient nicht nur der vertrauenswürdigen Entgegennahme von Bedenken betreffend integres Geschäftsverhalten und der frühzeitigen Erkennung von allfälligem Fehlverhalten oder Schwachstellen in Geschäftsprozessen, sondern fördert gleichzeitig eine "speak up"-Kultur und damit eine ethische Unternehmenskultur.
  • Interne Untersuchungen
    Es ist im Interesse jedes Unternehmens, Verfehlungen und sonstige Missstände frühzeitig, rasch und diskret aufzuarbeiten, korrigierende Massnahmen zu ergreifen sowie Lehren daraus für die Zukunft zu ziehen, ohne dass die Reputation Schaden nimmt. Gleichzeitig wird im Sinne der Generalprävention das unternehmerische Bekenntnis zur Compliance bekräftigt. Ein entsprechendes Reglement unterstützt ein   einheitliches Verfahren und klärt die Verantwortlichkeiten.
  • Monitoring
    Compliance ist messbar - Erfolg und Stand der Umsetzung sollten regelmässig überprüft werden.